No início deste ano, o CEO do UnitedHealth Group, Andrew Witty, testemunhou perante o Congresso sobre um ataque cibernético em fevereiro à sua subsidiária Change Healthcare, que afetou cerca de um terço dos americanos e interrompeu o processamento de reivindicações, pagamentos a provedores, solicitações de autorização prévia e verificações de elegibilidade por meses.
O incidente foi notável porque, embora violações de segurança cibernética tenham se tornado comuns, um CEO respondendo perguntas de segurança nos mais altos níveis do governo não o é.
Mas isso está mudando, porque o risco de tal violação mudou — especialmente quando informações pessoais e de saúde são comprometidas, como aconteceu com a UnitedHealth.
“O risco cibernético superou em muito o risco tradicional em termos de impacto”, disse Kevin Dunn, ex-vice-presidente sênior e chefe de serviços profissionais do NCC Group, que agora atua como gerente sênior de segurança da ProServe na AWS.
Os CEOs não podem mais ignorar os planos de segurança cibernética de suas empresas. Quando grandes incidentes ocorrem, eles correm o risco de demissão, renúncia forçada, ações judiciais de acionistas ou até mesmo acusações da Securities and Exchange Commission.
Uma mudança de percepção de décadas sobre quem é responsável pelo risco
O papel do CEO não mudou exatamente quando se trata de segurança cibernética, mas a percepção de risco e o nível de engajamento do CEO mudaram, disse Trevor Horwitz, CISO e fundador da Trustnet.
Dez anos atrás, a segurança cibernética era vista como um problema de TI e conformidade, disse Horwitz. “Se houvesse uma violação, o impacto não era visto como significativo, e o papel do CEO era principalmente tomar decisões de alto nível durante o incidente.”
A diferença agora é a ameaça potencial às operações e reputações comerciais, ele disse. “Os CEOs têm a tarefa de integrar a segurança cibernética à estratégia geral de negócios e alinhar a segurança cibernética com os objetivos comerciais.”
Velhas desculpas também não vão mais funcionar, acrescentou Dunn.
No caso da UnitedHealth, Witty atribuiu o hack à aquisição de uma empresa, a Change Healthcare, e que eles ainda não tinham melhorado sua segurança. Também não foi um hack sofisticado que violou a empresa: a Change Healthcare não tinha autenticação multifator ativada, Witty testemunhou.
Suas respostas, incluindo a confirmação de que a empresa pagou um resgate de US$ 22 milhões em Bitcoin, não foram bem recebidas pelo Congresso.
“Este hack poderia ter sido interrompido com segurança cibernética 101”, disse o senador Ron Wyden, D-Ore., durante uma audiência no Comitê de Finanças do Senado. O senador John Barrasso, R-Wyo., destacou que até mesmo um pequeno hospital rural em seu estado natal tem autenticação multifatorial.
Além de terem sido alguns dias embaraçosos para a Witty, tais violações podem ter potenciais ramificações além de obrigar o Congresso a obrigar os funcionários da empresa a testemunhar.
Os CEOs também são responsáveis perante a SEC, disse a vice-presidente analista da Gartner, Katell Thielemann, o que significa que eles são responsáveis perante os acionistas ou, no caso de a empresa que supervisionam fazer parte de uma infraestrutura crítica, perante o país.
“O governo está me dizendo ‘sinto muito’ não é bom o suficiente”, disse Thielemann. “As implicações de segurança nacional e prosperidade econômica da infraestrutura crítica caindo não é algo que estamos dispostos a aceitar mais.”
O que os CEOs precisam saber
De acordo com Thielemann, também há potenciais ramificações legais para incidentes de segurança de alto perfil, por meio de ações judiciais de acionistas ou acusações da SEC, como aconteceu com o CISO da SolarWinds após sua violação massiva .
No caso da SolarWinds, “eles não estão indo atrás do CEO, mas estão sinalizando que se descobrirem que houve alguma desinformação ou algumas declarações totalmente falsas para investidores, eles irão atrás do CEO”, ela disse. “Se eles podem ir atrás de um CISO por essas coisas, eles farão o mesmo pelo CEO.”
Os CEOs não precisam necessariamente se tornar especialistas nos aspectos técnicos da segurança cibernética para estarem preparados em caso de um ataque ou — esperançosamente — impedir um antes que ele comece.
Os CEOs não precisam necessariamente se tornar especialistas nos aspectos técnicos da segurança cibernética para estarem preparados em caso de um ataque ou — esperançosamente — impedir um antes que ele comece.
